Windows Credential Guard je bezpečnostní funkce, která zajišťuje ověřovací pověření před škodlivými útoky. Zabraňuje hackerům manipulovat se systémovými nástroji nebo spouštět škodlivé kódy na vašem počítači. Tato funkce je dostupná u verzí Enterprise a Pro Windows 10 a Windows 11. Měli byste zvážit povolení Credential Guard, pokud zpracováváte citlivá data nebo k nim přistupujete lokálně nebo vzdáleně v doméně Windows nebo pracovní skupině.
Co přesně je Credential Guard?
Při spuštění počítače proces nazvaný Serverová služba místního bezpečnostního úřadu (LSASS) ověří přihlašovací údaje a udělí vám přístup. LSASS také ukládá tyto přihlašovací údaje (zašifrovaná hesla, haše NT, haše LM a lístky Kerberos) v paměti během aktivních relací, takže nemusíte znovu zadávat heslo pokaždé, když potřebujete provést změny nebo získat přístup k souborům.
Ukládání přihlašovacích údajů do paměti během relací je praktické ve srovnání s alternativou: ruční ověřování identity na každém kroku. Je pravda, že občasné zadání ověřovacích údajů zlepšuje zabezpečení. Ale ověřovací údaje jsou zdlouhavé, zejména ve svých hashovaných formách. Bylo by obzvláště nepohodlné, pokud byste museli provést změnu rychle, a zvláště frustrující, pokud byste udělali chybu a museli znovu zadat heslo. A pokud si heslo musíte někam zapsat, může to potenciálně zvýšit vaše bezpečnostní riziko. LSASS zpracovává ověřování, takže používání vašeho zařízení je efektivní.
Ale jak si dokážete představit, se vším, co uchovává cenná a citlivá data, je LSASS jackpot pro hackery. Mohou kompromitovat LSASS skrz útoky na krádeže pověření pomocí nástrojů jako Mimikatz, Crackmapexec a Lsassy. Hackeři používají tyto nástroje k odstranění, nahrazení nebo změně skutečného systémového souboru (lsass.exe).
Existují způsoby, jak zastavit krádeže pověření dříve, než hacker způsobí obrovské škody, a je možné zastavit útok, jakmile jej odhalíte. V první řadě je však lepší útoku zabránit. Credential Guard chrání před škodlivými útoky vytvořením izolovaného procesu LSASS (LSAIso), který bezpečně ukládá ověřovací data.
Proč byste měli povolit Credential Guard na vašem PC
Funkce zabezpečení izoluje přihlašovací údaje od zbytku paměti systému a také od hlavního procesu (lsass.exe), který zpracovává ověřování. Je to tedy v podstatě černá skříňka.
Credential Guard byste měli používat, pokud máte několik počítačů, které jsou součástí domény nebo pracovní skupiny. Proč? Útočník, který napadne zařízení s přihlašovacími údaji správce, může ohrozit celou síť. Povolení této funkce účinně zabrání útočníkovi získat úplnou kontrolu nad citlivými informacemi, pokud ohrozí systém.
Váš systém musí splňovat požadavky
Windows Credential Guard je exkluzivní pro verze Enterprise a Pro Windows 10 a 11. Nejnovější verze serverů Windows mají také tuto funkci zabezpečení, ale zařízení musí splňovat přísné požadavky na hardware a software.
Pro začátek musí mít zařízení 64bitový CPU (pro podporu zabezpečení založeného na virtualizaci) a bezpečné spouštění. Microsoft také doporučuje mít Modul důvěryhodné platformy (TPM) verze 1.2 nebo 2.0 a zámek UEFI (aby se zabránilo útočníkům obejít nastavení zabezpečení pomocí nástroje regedit). Můžete zkontrolovat základní požadavky na základě počítače nebo serveru, který chcete chránit.
Jak povolit Credential Guard ve Windows
Váš počítač nebo server bude mít ve výchozím nastavení povoleno Credential Guard, pokud bude splňovat základní požadavky společnosti Microsoft. Chcete-li zkontrolovat, zda je tato funkce zabezpečení již povolena, stiskněte Start poté zadejte „msinfo32.exe“. Vybrat Systémové informace > Souhrn systému. Vedle sebe byste měli vidět „Spuštěné služby zabezpečení založené na virtualizaci“ a „Credential Guard, Hypervisor vynucená integrita kódu“.
Pokud Credential Guard ve vašem počítači není povolen, můžete tuto funkci povolit třemi hlavními způsoby: prostřednictvím zásad skupiny, úpravou registru Windows nebo pomocí Microsoft Intune. Pokud jste zkušený uživatel, existuje také možnost povolit Credential Guard se zámkem UEFI. Většině správců bude povolení této funkce snazší se zásadami skupiny.
Jak zakázat Credential Guard ve Windows
Navzdory své užitečnosti při předcházení krádežím pověření a útokům Pass the Hash způsobí Credential Guard narušení některých služeb a protokolů. Například povolení funkce zabezpečení vám zabrání používat Windows To Go, neomezené delegování Kerberos a šifrování DES.
Také nemůžete používat poskytovatele podpory zabezpečení (SSP) třetích stran, protože jsou zranitelní vůči útokům kradoucím pověření. Koncové body Wi-Fi a VPN založené na MS-CHAPv2 jsou stejně zranitelné a budou deaktivovány, když povolíte Credentials Guard.
Pokud potřebujete některé z výše uvedených funkcí, můžete Credential Guard deaktivovat na jak dlouho potřebujete. Nezapomeňte si ale nastavit připomenutí, abyste to znovu povolili.
Deaktivace pomocí Editoru zásad skupiny
První možností je vypnout Credential Guard změnou nastavení zásad skupiny.
Chcete-li to provést, stiskněte Start a zadejte „gpedit“ a poté vyberte Upravit zásady skupiny. Jít do Konfigurace počítače > Šablony pro správu > Systém > Ochrana zařízení > Zapnout zabezpečení založené na virtualizaci > Možnosti. Nastavte "Konfigurace ochrany pověření" na Zakázáno, klikněte OK uložte změny a poté restartujte počítač.
Deaktivace pomocí Regedit
Tato možnost je skvělá, pokud jste povolili ochranu Defender Credential Guard pomocí jiné metody než Zámek UEFI a Zásady skupiny. Chcete-li deaktivovat Credential Guard pomocí Regedit, stiskněte Start a zadejte „regedit“. Vybrat Editor registru. Nejprve přejděte na cestu k souboru HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\LsaCfgFlags a nastavte hodnotu na "0".
Dále přejděte zpět do HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceGuard\LsaCfgFlags a nastavte hodnotu na "0".
Můžete také sledovat Pokyny společnosti Microsoft pro deaktivaci Credential Guard se zámkem UEFI nebo deaktivaci bezpečnostní funkce na virtuálním počítači.
Aktivace Credential Guard je pouze prevence
Základním pravidlem je nainstalovat plot kolem zahrady před výsadbou, zvláště pokud žijete v oblasti, kde se volně pohybují dobytek. Ten plot by byl k ničemu, pokud už na svém pozemku máte kozy – v takovém případě byste je museli vyhnat.
Stejný princip platí pro ochranu vašich citlivých přihlašovacích údajů. Pokud je povoleno, Credential Guard zabraňuje hackerům ukrást vaše data. Bylo by to však neúčinné, pokud se útočník již usadil ve vaší síti nebo kompromitoval zařízení. Pokud se tedy rozhodnete použít tuto funkci zabezpečení na novém pracovním počítači, ujistěte se, že je povolena, než se počítač připojí k doméně nebo pracovní skupině Windows.